ГОСТ Р ИСО/МЭК 15408-2-2002
Операции
Н а з н а ч е н и е
Для FAU_SAA.3.1 автору 113/3Б следует идентифицировать базовое подмножество системных событий,
появление которых, в отличие от иных показателей функционирования системы, может указывать на нарушение
ИБО. К ним относятся как события, сами по себе указывающие на очевидные нарушения ИБО, так и события,
по явле
ние
которых является достаточным основанием
ДЛЯ
принятия мер предосторожности.
Для PAl)_SAA-3.2 автору ПЗ/ЗБ следует специфицировать информацию, нсполыуемую при определении
показателен функционирования системы. Информация является исходной для инструментальных средств анали за
показателей функционирования системы, применяемых в ОО. В эту информацию могут входить данные ауди та.
комбинации данных аудита с другими системными данными и данные, отличные от данных аудита. При
составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий используются в
качестве исходной информации.
FAU_SAA.4 Сложная эвристика атаки
Замечания по применению для пользователя
Па практике случай, когда средства анализа могут точно предсказать ожидаемое нарушение безопасно
сти, является редкой удачей. Тем нс менее существуют некоторые системные события, важные настолько,
что всегда заслуживают отдельного отслеживания. Примерами таких событий являются удаление файла с клю
чевыми данными безопасности ФБО (например, файла паролей) или попытка удаленного пользователя полу
чить административные привилегии. Такие события называют
характерными,
поскольку они, в отличие от
остальных событий, свидетельствуют о попытках вторжения в систему. Последовательность событий является
упорядоченным множеством характерных событий, которые могут указывать на попытки вторжения.
Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором
Г13/ЗБ при определении базового множества характерных событий и последовательности событий.
Автору ПЗ/ЗБ следует определить базовое множество характерных событий и последовательностей со
бытий, которые будут представлены в ФБО. Дополнительные характерные события и последовательности
событий могут быть определены разработчиком системы.
В ПЗ/ЗБ следует перечислить события, которые следует отслеживать ФБО с целью их анализа. Автору
ПЗ/ЗБ следует указать, на основании какой информации о событии сю можно отнести к характерным.
Административные уведомления следует доводить до уполномоченного пользователя таким образом,
чтобы ом понимал значение этих событий и приемлемую реакцию на них.
При спецификации этих требований предусмотрена возможность привлечения иных источниковданных
о функционировании системы, кроме данных аудита. Это было сделано с целью расширения привлекаемых
методов обнаружения вторжения, которые при анализе показателей функционирования системы используют
не только данные аудита (примерами других типов источников данных являются параметры сетевых дейтаг
рамм. данные о рссурсах/учегс или комбинации различных системных данных). Поэтому от автора ПЗ/ЗБ
требуется специфицировать виды данных, используемых при контроле показателей функционирования систе
мы.
Элементы FAU_.SAA.4 не требуют, чтобы реализация эвристик распознавания прямой атаки осуществ
лялась теми же самыми ФБО. выполнение которых подлежит мониторингу. Поэтому компоненты, применя
емые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функциониро
вания которой подлежат анализу.
Операции
На з н а ч е н и е
Для FAU_SAA.4.1 автору ПЗ/ЗБ следует идентифицировать базовое множество перечня последовательно
стей системных событий, совпадение которых типично для известных сценариев проникновения. Эти последо
вательности событий представляют известные сценарии проникновения. Каждое событие в последовательности
следует сопоставлять с контролируемыми системными событиями, и если в итоге все системные события про
изошли в действительности, это подтверждает (отображает) попытку проникновения.
Для FAU_SAA.4.I автору ПЗ/ЗБ следует специфицировать базовое подмножество системных событий,
появление которых, в отличие от иных показателей функционирования системы, может указывать на наруше
ние ПБО. К ним относятся как события, сами по себе указывающие на очевидные нарушения ПБО, так и
события, появление которых является достаточным основанием для принятия мер предосторожности.
Для FAU_SAA.4.2 автору ПЗ/ЗБ следует спсиифипировать информацию, используемую при определении
показателей функционировании системы. Информации является исходной для инструментальных средств ана
лиза показателей функционирования системы, применяемых в ОО. В эту информацию могут входить данные
аудита, комбинации данных аудита с другими системными данными и данные, отличные от данных аудита.
При составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий использу ются
в качестве исходной информации.
В.4 Просмотр аудита безопасности (FAU_SAR)
Семейство FAU_SAR определяет требования, относящиеся к просмотру информации аудита.
м*
95